A mais recente falha do kernel Linux não tem um nome chique; é simplesmente chamada de "ssh‑keysign‑pwn." É o quarto buraco de segurança local de alto perfil a atingir o Linux em apenas algumas semanas. Desta vez, permite que usuários comuns leiam silenciosamente alguns dos arquivos mais sensíveis de um sistema, incluindo chaves privadas de host do Secure Shell (SSH) e o arquivo de senhas shadow.

A vulnerabilidade ganhou seu apelido "ssh‑keysign‑pwn" de um dos principais caminhos de exploração: abusar do binário auxiliar ssh-keysign do OpenSSH. O Keysign é usado para autenticação baseada em host e normalmente é executado como setuid root, abrindo as chaves de host SSH do sistema antes de reduzir privilégios para concluir seu trabalho.

Pesquisadores de segurança da empresa Qualys divulgaram o CVE‑2026‑46333, uma vulnerabilidade de divulgação de informações na verificação de acesso ptrace do kernel Linux. A Qualys afirma que ela existe de uma forma ou de outra há cerca de seis anos.

A falha reside na lógica __ptrace_may_access() que é executada quando os processos terminam. Sob certas condições, o kernel pula as verificações normais de "dumpable" depois que um processo descarta seu mapeamento de memória. Isso abre uma breve janela para outro processo roubar seus descritores de arquivo.

Embora o ssh‑keysign‑pwn não entregue um shell root completo por si só, a capacidade de exfiltrar chaves de host e hashes de senha é um bloco de construção poderoso para movimento lateral e persistência de longo prazo. Além disso, com chaves de host SSH roubadas, invasores podem se passar por máquinas em relações de confiança baseadas em host. Com acesso ao diretório de senhas shadow, eles podem tentar quebra de senhas offline e reutilizar essas credenciais em outros sistemas.

Em seu patch, Linus Torvalds explicou que o problema existe porque "Temos um caso especial estranho: ptrace_may_access() usa 'dumpable' para verificar várias outras coisas completamente independentes do MM (tipicamente usando explicitamente flags como PTRACE_MODE_READ_FSCREDS). Incluindo para threads que não têm mais uma VM (e talvez nunca tiveram, como a maioria dos threads do kernel). Não é para isso que essa flag foi projetada, mas é o que é."

O que isso significa para você e para mim é que, combinando esse erro de lógica com a chamada de sistema pidfd_getfd(2), usuários não privilegiados podem alcançar processos privilegiados que estão no meio do desligamento, pegar seus descritores de arquivo ainda abertos e, em seguida, ler arquivos que normalmente seriam acessíveis apenas ao root.

A boa notícia é que a correção já está disponível. O mantenedor estável do Linux, Greg Kroah‑Hartman, já lançou atualizações em várias ramificações suportadas, incluindo novos lançamentos como 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 e 5.10.256, todos com a correção do ssh‑keysign‑pwn. Você vai querer migrar para um desses kernels o mais rápido possível. Essa falha afeta todos os kernels Linux lançados antes de 14 de maio de 2026.

Até que kernels corrigidos estejam amplamente disponíveis, as equipes de segurança têm algumas opções de mitigação, mas cada uma vem com compensações. Uma solução rápida e suja é apertar as restrições ptrace do Yama do Linux, o que desabilita ptrace para usuários não root e bloqueia o exploit, mas também quebra muitos fluxos de trabalho de depuração e monitoramento. Você também pode reduzir a exposição desabilitando a autenticação SSH baseada em host e o auxiliar ssh-keysign completamente em sistemas onde eles não são necessários, embora isso pare o SSH em seu caminho.

Como um membro cansado da equipe do Manjaro Linux disse: "Não ligue seu PC se não precisar. Tranque-se e olhe por cima do ombro." Bem, essa é certamente uma maneira de lidar com isso!